Yıllarca dünya basit bir varsayım üzerine işledi: verilerin fiziksel bir konumu vardır. Dublin’deki bir sunucudaysa, İrlanda ve Avrupa hukukuna tabidir. Bu varsayım 2018’de çöktü; Amerika Birleşik Devletleri, ABD’li şirketler tarafından kontrol edilen verilere yetkililerin erişimini mümkün kılan CLOUD Act’i kabul etti. Bu yasa, söz konusu verilerin dünyada fiziksel olarak nerede depolandığından bağımsız olarak uygulanıyordu. Birkaç yıl sonra Brüssel kendi koruma mekanizmasıyla yanıt verdi: artık tam anlamıyla uygulanabilir hâle gelen Data Act, üçüncü ülke yetkililerin Avrupa Birliği’nde tutulan verilere yaptığı sınır ötesi erişimi kısıtlamaya çalışıyor.
Bu iki metnin gerçekte ne öngördüğü, nerede çatıştıkları ve neden bu çatışmaya karşı gerçek anlamda güçlü tek korumanın teknik erişim imkânsızlığı olduğu aşağıda ele alınmaktadır.
Amerikan CLOUD Act’i: konuma değil, kontrole dayalı erişim
CLOUD Act (Clarifying Lawful Overseas Use of Data Act), Mart 2018’de kabul edilerek Amerikan hukukuna 18 U.S. Code § 2713 maddesini ekledi. Bu hüküm; elektronik iletişim hizmeti veya uzaktan bilgisayar işlemi sunan her sağlayıcıya, bir iletişimin içeriğini ya da buna ilişkin her kaydı, söz konusu veriler ABD içinde ya da dışında yer alıyor olsun, kendi elinde bulundurduğu, koruması altında tuttuğu veya kontrolünde olduğu durumlarda korumayı, güvenceye almayı veya ifşa etmeyi zorunlu kılmaktadır.
Son derece belirleyici olan işte bu son hükümdür. Benimsenen ölçüt, artık sunucunun fiziksel konumu değil, ana şirketin bağlı kuruluşları üzerindeki kontrolüdür. Bu nedenle, Avrupa’da veri merkezi işleten bir Amerikan şirketi, veriler tamamen Avrupa topraklarında depolanmış olsa bile Amerikan taleplere uymakla yükümlüdür.
Avrupa Data Act’i: sınır ötesi erişime karşı hukuki bir bariyer
Tüzük (AB) 2023/2854, yani Data Act, 11 Ocak 2024’te yürürlüğe girmiş ve 12 Eylül 2025 itibarıyla tam anlamıyla uygulanmaya başlamıştır; bazı hükümler ise 2026 ve 2027 yıllarına kadar kademeli biçimde devreye girecektir. 32. maddesi, hükümetlerin verilere uluslararası erişimi meselesini doğrudan düzenlemektedir.
Metin açık bir kural ortaya koymaktadır: Üçüncü bir ülkenin yargı mercii veya idari makamının, bir veri işleme hizmet sağlayıcısından Avrupa Birliği’nde tutulan kişisel olmayan verileri aktarmasını ya da bu verilere erişim sağlamasını talep eden her karar veya hüküm, ancak uluslararası bir anlaşmaya—örneğin, talep eden ülke ile AB arasında ya da ilgili üye devletle söz konusu ülke arasında yürürlükte olan bir karşılıklı hukuki yardım anlaşmasına (MLA)—dayanması hâlinde tanınabilir ve icra edilebilir nitelik taşır.
Böyle bir anlaşmanın mevcut olmadığı durumlarda, 32. madde ikinci bir yol öngörmektedir; ancak bu yol sıkı koşullara bağlıdır: yabancı karar, ancak üçüncü ülkenin hukuk sistemi talebin gerekçeli, orantılı ve yeterince spesifik olmasını şart koşuyorsa—örneğin belirli kişiler veya suçlarla açık bir bağlantı kurulmuşsa—ve muhatabın gerekçeli itirazı bu üçüncü ülkedeki yetkili bir mahkemenin denetimine sunulabiliyorsa icra edilebilir.
Doğrudan bir hukuki çatışma
Sorun açıktır: CLOUD Act, Avrupa hukukunun öngördüğü orantılılık koşuluna denk herhangi bir ölçüt olmaksızın, salt şirket kontrolüne dayalı bir ifşayı zorunlu kılmaktadır. Data Act ise tam tersine, böyle bir talebin tanınmasını uluslararası bir anlaşmanın varlığına ya da belirli usul güvencelerine bağlamaktadır. Avrupa’da faaliyet gösteren ve Amerikan yetkililer tarafından AB’de barındırılan verileri iletmesi istenen bir ABD şirketi, iki çelişkili hukuki yükümlülük arasında sıkışıp kalır: Amerikan talebine uymak AB hukukunu ihlal etmek anlamına gelirken, Data Act’e uymak ABD’de ret kararının sonuçlarına katlanmayı gerektirir.
Bu gerilim teorik değildir. Avrupa Birliği Adalet Divanı (ABAD) tarafından iki önemli kararında zaten belgelenmiştir: Schrems I (2015) ve Schrems II (2020). Schrems II kararında ABAD, FISA’nın 702. Maddesi (Foreign Intelligence Surveillance Act) ve Yürütme Kararnamesi 12333 kapsamında yürütülen Amerikan gözetiminin, AB hukukunun orantılılık ilkesi çerçevesinde talep ettiği asgari güvenceleri karşılamadığına ve dolayısıyla kesinlikle gerekli olanla sınırlı sayılamayacağına hükmetmiştir. Mahkeme ayrıca, Avrupa’daki ilgili kişiler için etkili bir yargısal başvuru yolunun bulunmadığını da tespit etmiş ve bu durumun Temel Haklar Şartı’nın 47. maddesini ihlal ettiğini vurgulamıştır. Bu karar, o zamana kadar AB ile ABD arasındaki veri transferlerini düzenleyen Privacy Shield çerçevesini geçersiz kılmıştır.
Yapısal risk: Harvest Now, Decrypt Later
Yetki alanı çatışmasının ötesinde, Amerikan hukukuna tabi altyapılarda barındırılan veriler üzerinde daha sinsi bir tehdit bulunmaktadır: Harvest Now, Decrypt Later (HNDL) stratejisi. Bu yöntemde bir istihbarat servisi ya da düşmanca bir devlet aktörü, gelecekte yeterli kuantum hesaplama kapasitesine kavuşulduğunda deşifre etmek üzere şifrelenmiş verileri şimdiden ele geçirip depolamaktadır.
Bu strateji, Amerikan bulut altyapısına uzun süreli bağımlılığı ertelenmiş bir güvenlik borcuna dönüştürür: bugün gizli olan şey on ya da on beş yıl içinde okunabilir hâle gelebilir; saldırganın yapması gereken tek şey zamanı beklemektir.
Neden yalnızca teknik imkânsızlık gerçek bir güvence oluşturur
Hukuki analiz, uyum uzmanlarının büyük çoğunluğunun paylaştığı bir sonuca yakınlaşmaktadır: Data Act’in yasal çerçevesi ne kadar sağlam olursa olsun, jeopolitik güç dengeleri ve diplomatik baskılar bu metni aşabilir, geciktirebilir ya da yeniden yorumlayabilir. Hiçbir gelecekteki müzakereye bağlı olmayan tek koruma, teknik icra imkânsızlığıdır.
Hizmet sağlayıcının şifre çözme anahtarlarını ne elinde bulundurduğu ne de koruması altında tuttuğu bir zero knowledge mimarisi, bir talebi maddeten işlevsiz kılar. Hiçbir zaman sahip olunmayan bir şeyi teslim etmeye zorlanmak mümkün değildir.
Arpokrat gibi ekosistemler bu mantık üzerine kurulmuştur:
- Yetki alanı nötralizasyonu: Altyapı, CLOUD Act’in doğrudan sınır ötesi uygulanabilirliğinin kapsamı dışında kalan Federal Veri Koruma Kanunu (LPD/FADP) rejimine tabi olarak İsviçre’de barındırılmaktadır
- Gözetim yokluğu: Zero knowledge mimarisi, sağlayıcıyı hiçbir zaman sahip olmadığı anahtarları veya içerikleri teslim etme kapasitesinden yoksun bırakmaktadır
- Kimlik izinin azaltılması: Telefon numarası veya e-posta adresiyle kayıt zorunluluğunu ortadan kaldırarak—FISA’nın 702. Maddesine dayalı gözetiminin kolayca takip edebildiği bu tanımlayıcıları devre dışı bırakarak—kullanıcı, tespit edilebilir bir abone olmaktan çıkıp anonim bir kriptografik anahtara dönüşmektedir
Gözetim zinciri şifrelemeyle bitmez
Uyum analizlerinde sıklıkla göz ardı edilen bir husus şudur: Altta yatan işletim sistemi—Android ya da iOS—çekirdek düzeyinde meta veri veya telemetri toplamayı sürdürüyor ve bunları Amerikan yargı yetkisine tabi sunuculara iletiyorsa, iletişimin içeriğini şifrelemek tek başına yeterli değildir. Gizliliğin korunması, içerikten fiziksel altyapıya kadar gözetim zincirinin tümünün kapatılmasını gerektirir.
İşte bu nedenle dijital egemenlik, yalnızca mesajlaşma uygulamaları üzerine değil, aynı zamanda kullanılan işletim sistemi üzerine de bir düşünce geliştirmeyi zorunlu kılmaktadır. Bluetooth veya GNSS konumlandırma gibi modüllerin doğrudan çekirdek düzeyinde devre dışı bırakılabildiği Google bağımsız sistemler, hiçbir uygulama düzeyinde şifrelemenin telafi edemeyeceği fiziksel saldırı vektörlerini ortadan kaldırmaktadır.
Kuantum sonrası kriptografi: hâlihazırda başlamış bir süreç
HNDL stratejisinin oluşturduğu tehdit karşısında, kuantum sonrası kriptografi (PQC) standartlarının benimsenmesi, ister ticari sırlar, ister mesleki yazışmalar ister sağlık verileri söz konusu olsun, uzun vadede hassas verilerin gizliliğini güvence altına almak isteyen herkes için bir zorunluluk hâline gelmektedir. Bugün klasik standartlara göre sağlam sayılan bir şifreleme, önümüzdeki on beş yıl içinde beklenen kuantum hesaplama kapasitelerine karşı dayanacağını garanti etmemektedir.
Data Act ile CLOUD Act arasındaki çatışma daha geniş bir gerçeği gözler önüne sermektedir: dijital egemenlik artık yalnızca yasal metinler üzerine inşa edilemez; bu metinler ne kadar sağlam olursa olsun. Şifreleme protokolünden barındırma yargı yetkisine, işletim sisteminin kendisine kadar gözetim zincirinin her düzeyde kapatılmasını gerektirmektedir. Tek bir düzenleyici çerçeveye duyulan güvene dayanmak yerine bu katmanlı yaklaşım, bugün gerçek anlamda tasarım yoluyla dijital egemenliği tanımlamaktadır.
